Een beveiligingsonderzoeker is erin geslaagd om via de Thunderbolt-poort op een Mac permanente malware te installeren. Deze is niet te verwijderen door OS X opnieuw te installeren, omdat de EFI-chip overschreven wordt met malafide software.

De EFI-chip bevat firmware die voordat OS X opstart al uitgevoerd wordt. Normaal kan dit alleen via een software-update van Apple zelf overschreven worden. Via Thunderbolt is het echter mogelijk om software op de chip te flashen, die bij de eerstvolgende reboot als update uitgevoerd wordt.

De onderzoeker presenteerde tijdens de CCC-conferentie in Duitsland een apparaatje dat in de Thunderbolt-poort wordt gestoken en de malafide software naar de EFI-chip schrijft. Er wordt geen controle op de software uitgevoerd, waardoor de kwaadaardige firmware geïnstalleerd kon worden. Het installeren van de kwaadaardige firmware is mogelijk omdat Apple nog ondersteuning biedt voor een oude methode genaamd OptionROM. De methode is succesvol op 6 MacBooks getest, maar werkt in theorie ook op een iMac of Mac Mini met Thunderbolt-aansluiting.

Apple is op de hoogte van de problemen en bezig met een fix. Voor zover bekend is de exploit nog niet ‘in het wild’ misbruikt. Om het te laten werken is fysieke toegang tot een Mac nodig. De volledige presentatie zoals die tijdens de CCC-conferentie is gegeven, is te zien op Flickr.